Οι νέοι κανονισμοί αναγκάζουν τους οργανισμούς να λάβουν πιο σοβαρά υπόψη την ασφάλεια στον κυβερνοχώρο.
Sean Gladwell | Στιγμή | Getty Images
Σκληροί νέοι κανόνες της Ευρωπαϊκής Ένωσης που απαιτούν από τις τράπεζες να ενισχύσουν τα συστήματα κυβερνοασφάλειάς τους τίθενται επίσημα σε ισχύ την Παρασκευή, αλλά πολλές από τις εταιρείες χρηματοοικονομικών υπηρεσιών του μπλοκ δεν έχουν ακόμη συμμορφωθεί πλήρως.
Ο Νόμος της ΕΕ για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA) απαιτεί τόσο από τις εταιρείες χρηματοοικονομικών υπηρεσιών όσο και από τους παρόχους τεχνολογίας τους να ενισχύσουν τα συστήματα πληροφορικής τους για να διασφαλίσουν ότι ο κλάδος είναι ανθεκτικός σε περίπτωση κυβερνοεπιθέσεων ή οποιασδήποτε άλλης μορφής διακοπής. Τέθηκε σε ισχύ στις 17 Ιανουαρίου.
Τα πρόστιμα για παραβίαση της νέας νομοθεσίας μπορεί να είναι σημαντικά. Οι εταιρείες χρηματοοικονομικών υπηρεσιών που παραβιάζουν τους νέους κανόνες θα μπορούσαν να τιμωρηθούν με πρόστιμο έως και 2% των ετήσιων παγκόσμιων εσόδων. Οι μεμονωμένοι διευθυντές μπορεί επίσης να θεωρηθούν υπεύθυνοι για παραβιάσεις και να υπόκεινται σε κυρώσεις έως και 1 εκατομμυρίου ευρώ (1 εκατομμύριο $).
Σύμφωνα με τον Harvey Jung, Chief Privacy Officer και αναπληρωτή γενικό σύμβουλο του γίγαντα IT Cisco, η συμμόρφωση με τους νέους κανόνες από τις εταιρείες χρηματοπιστωτικών υπηρεσιών ήταν μικτή μέχρι στιγμής.
«Νομίζω ότι έχουμε δει μια μικτή τσάντα», είπε ο Τσαν στο CNBC. «Σίγουρα πιο ώριμες εταιρείες εξετάζουν αυτό το θέμα για τουλάχιστον ένα χρόνο, αν όχι περισσότερο».
«Πραγματικά προσπαθούμε να δημιουργήσουμε αυτό το πρόγραμμα συμμόρφωσης, αλλά είναι τόσο περίπλοκο. Νομίζω ότι αυτό είναι ένα πρόβλημα. Το έχουμε δει αυτό και με τον GDPR και με άλλες γενικές νομοθεσίες που υπόκεινται σε ερμηνεία – τι σημαίνει στην πραγματικότητα συμμόρφωση; Σημαίνει διαφορετικά πράγματα για διαφορετικούς ανθρώπους», είπε.
Η έλλειψη κοινής κατανόησης του τι χαρακτηρίζεται ως αυστηρή συμμόρφωση με την DORA, με τη σειρά της, οδήγησε πολλούς οργανισμούς να αυξήσουν τα πρότυπα ασφαλείας σε επίπεδο που στην πραγματικότητα υπερβαίνει τη «βασική γραμμή» αυτού που αναμένεται από τις περισσότερες εταιρείες, πρόσθεσε ο Chan.
Είναι έτοιμα τα χρηματοπιστωτικά ιδρύματα;
Σύμφωνα με το DORA, οι εταιρείες χρηματοοικονομικών υπηρεσιών θα πρέπει να εφαρμόζουν αυστηρή διαχείριση κινδύνων και συμβάντων πληροφορικής, ταξινόμηση και αναφορά, δοκιμές επιχειρησιακής ανθεκτικότητας, κοινή χρήση πληροφοριών για απειλές στον κυβερνοχώρο και ευπάθειες και μέτρα διαχείρισης κινδύνου τρίτων.
Οι εταιρείες θα κληθούν επίσης να αξιολογήσουν τον «κίνδυνο συγκέντρωσης» που σχετίζεται με την εξωτερική ανάθεση κρίσιμων ή σημαντικών λειτουργικών λειτουργιών σε εξωτερικές εταιρείες.
Έρευνα 200 στελεχών ασφάλειας πληροφοριών στο Ηνωμένο Βασίλειο που ανατέθηκε από την Orange Cyberdefense, το τμήμα κυβερνοασφάλειας της γαλλικής εταιρείας τηλεπικοινωνιών. Πορτοκάλιδιαπίστωσε ότι το 43% των χρηματοπιστωτικών ιδρυμάτων στο Ηνωμένο Βασίλειο δεν είναι ακόμη πλήρως συμβατές με την DORA.
Αυτό είναι ανησυχητικό γιατί, παρόλο που το Ηνωμένο Βασίλειο βρίσκεται πλέον εκτός Ευρωπαϊκής Ένωσης, η DORA ισχύει για όλα τα χρηματοπιστωτικά ιδρύματα που λειτουργούν εντός της δικαιοδοσίας της ΕΕ, ακόμη και αν εδρεύουν εκτός του μπλοκ.
«Ενώ η DORA προφανώς δεν έχει νομική ισχύ στο Ηνωμένο Βασίλειο, οι οργανισμοί που εδρεύουν εδώ και λειτουργούν ή παρέχουν υπηρεσίες σε οργανισμούς στην ΕΕ θα υπόκεινται σε ρυθμίσεις», δήλωσε στο CNBC ο Richard Lindsay, επικεφαλής συμβούλων στην Orange Cyberdefense.
Πρόσθεσε ότι μια σημαντική πρόκληση για πολλά χρηματοπιστωτικά ιδρύματα όσον αφορά την επίτευξη συμμόρφωσης με την DORA είναι η διαχείριση κρίσιμων τρίτων παρόχων πληροφορικής.
«Τα χρηματοπιστωτικά ιδρύματα λειτουργούν μέσα σε ένα πολυεπίπεδο και εξαιρετικά πολύπλοκο ψηφιακό οικοσύστημα», είπε η Lindsay. «Η παρακολούθηση και η διασφάλιση ότι όλα τα μέρη αυτού του συστήματος συμμορφώνονται σαφώς με τα σχετικά στοιχεία της DORA θα απαιτήσει νέα σκέψη, λύσεις και πόρους».
Οι τράπεζες αυξάνουν επίσης το επίπεδο ελέγχου τους στις διαπραγματεύσεις συμβάσεων με παρόχους τεχνολογίας λόγω των αυστηρών απαιτήσεων της DORA, είπε ο Jang.
Ο επικεφαλής υπεύθυνος προστασίας προσωπικών δεδομένων της Cisco είπε στο CNBC ότι πιστεύει ότι υπάρχει συμφωνία όσον αφορά τις αρχές και το πνεύμα του νόμου. Ωστόσο, πρόσθεσε, «όλες οι νομοθεσίες είναι προϊόν συμβιβασμού και έτσι όσο γίνεται πιο δεσμευτική, γίνεται πολύπλοκη».
«Συμφωνούμε στις αρχές, αλλά όλη η νομοθεσία είναι προϊόν συμβιβασμού και καθώς γίνεται πιο δεσμευτική, γίνεται πολύπλοκη».
Ωστόσο, παρά τις προκλήσεις, πολλοί ειδικοί αναμένουν ότι δεν θα αργήσει πολύ να συμμορφωθούν οι τράπεζες και άλλα χρηματοπιστωτικά ιδρύματα.
«Οι τράπεζες στην Ευρώπη ήδη συμμορφώνονται με σημαντικούς κανονισμούς που καλύπτουν τους περισσότερους τομείς που καλύπτονται από την DORA», δήλωσε στο CNBC ο Fabio Colombo, επικεφαλής ασφάλειας χρηματοοικονομικών υπηρεσιών για την EMEA στην Accenture.
«Ως αποτέλεσμα, τα ιδρύματα χρηματοοικονομικών υπηρεσιών διαθέτουν ήδη ώριμες δυνατότητες διακυβέρνησης και συμμόρφωσης, καθώς και υπάρχουσες διαδικασίες αναφοράς συμβάντων και ένα ισχυρό πλαίσιο κινδύνου ΤΠΕ».
Κίνδυνοι για προμηθευτές πληροφορικής
Οι πάροχοι IT ενδέχεται επίσης να επιβληθούν πρόστιμο βάσει της DORA. Οι κανόνες απειλούν χρεώσεις έως και 1% του μέσου ημερήσιου εισοδήματος παγκοσμίως για έως και έξι μήνες.
«Αυτές οι κυρώσεις είναι απαραίτητες», δήλωσε στο CNBC ο Brian Fox, επικεφαλής τεχνολογίας στην εταιρεία διαχείρισης εφοδιαστικής αλυσίδας λογισμικού Sonatype. «Είναι ένα ισχυρό κίνητρο, ενθαρρύνοντας τους ηγέτες να λάβουν τη συμμόρφωση και την επιχειρησιακή ανθεκτικότητα πιο σοβαρά από ποτέ».
Η Lindsay της Orange Cyberdefense είπε ότι μακροπρόθεσμα, υπάρχει ο κίνδυνος οι εταιρείες χρηματοοικονομικών υπηρεσιών να καταλήξουν να μεταφέρουν τις κρίσιμες για την αποστολή τους λειτουργίες και υπηρεσίες ασφαλείας εσωτερικά.
«Η πρόοδος της τεχνολογίας μπορεί να επιτρέψει στα χρηματοπιστωτικά ιδρύματα να επαναφέρουν τις υπηρεσίες στο εσωτερικό τους, απλοποιώντας αυτή την πτυχή και μειώνοντας τον κίνδυνο μη συμμόρφωσης», είπε.
«Σε κάθε περίπτωση, οι υπάρχουσες συμβάσεις θα πρέπει να επικαιροποιηθούν για να διασφαλιστεί η συμμόρφωση με τις συμβατικές υποχρεώσεις και τους ελέγχους μεταξύ του οργανισμού και του προμηθευτή», πρόσθεσε η Lindsay.
Εν τω μεταξύ, υπάρχουν αρκετοί άλλοι κανονισμοί που εστιάζονται στην ασφάλεια στον κυβερνοχώρο με τους οποίους θα πρέπει να συμφωνήσουν οι οργανισμοί, όπως η Οδηγία για την Ασφάλεια Δικτύων και Πληροφοριών 2 ή NIS 2 και ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο. Η πρώτη τέθηκε σε ισχύ τον Οκτώβριο.
«Όπως με κάθε νέο κανονισμό, είναι βέβαιο ότι θα υπάρξει μια μεταβατική περίοδος, καθώς οι οργανισμοί προσαρμόζονται στις νέες απαιτήσεις και πρότυπα», δήλωσε η Fox της Sonatype στο CNBC. “Αυτή είναι η αρχή ενός μακρού ταξιδιού προς τη βελτίωση της ασφάλειας και της ανθεκτικότητας του λογισμικού.”
